Представляем новости об актуальных технологиях фишинга и других атаках на человека c 29 декабря 2017 года по 4 января 2018 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Главная новость

В процессорах Intel обнаружены две критические уязвимости, используя которые, можно прочитать содержимое памяти системного ядра и получить доступ из виртуальной машины к памяти другой виртуальной машины, запущенной на этом же хосте.

Для уязвимостей, получивших название Meltdown и Spectre, сделали сайты с описанием проблем и ответами на частые вопросы:

Сайт про уязвимость Meltdown
Сайт про уязвимость Spectre

Уязвимость Meltdown

Уязвимость Meltdown состоит в том, что обычный пользовательский процесс, используя специальные техники, может обратиться к памяти ядра операционной системы и прочитать её содержимое, включая хранящиеся в ней ключи шифрования, пароли и другую важную информацию. Другими словами, сайт с вредоносным сценарием JavaScript может с лёгкостью похитить все секретные данные, а ни пользователь, ни антивирус не заметят ничего неправильного.

В современных операционных системах программы работают в «пользовательском» режиме. Когда программе требуется выполнить операцию системного уровня, например, записать что-то в файл или установить сетевое соединение, она обращается к системным функциям и передаёт управление операционной системы, ядро которой выполняется в защищённом режиме, изолировано от программ пользовательского уровня.

Переключение контекста из пользовательского режима в режим ядра — затратная по времени операция, поэтому для повышения производительности ядро присутствует в виртуальном адресном пространстве всех процессов незаметным для програм образом. Исполняя системный вызов, процессор переключается в режим ядра, выполняет запрошенную функцию и возвращается в пользовательский режим. При этом код и данные ядра остаются в скрытых областях памяти пользовательского процесса. Получить к ним доступ в обычных условиях процесс не смог бы, если бы не спекулятивное исполнение команд — ещё один способ ускорения работы, который используют современные процессоры.

Чтобы сохранить постоянную загрузку конвейера исполнительного модуля командами, ядра процессора пытаются предсказать, какие инструкции будут выполняться следующими, читают их и исполняют. При этом процессоры Intel не проверяют безопасность кода, который выполняется в «опережающем» порядке. В результате код пользовательского режима может прочитать данные ядра.

Демонстрация атаки Meltdown: дамп памяти

Демонстрация атаки Meltdown: чтение вводимого пароля

Атаке Meltdown могут быть подвержены не только процессоры Intel, но и другие, использующие аналигичный механизм для предварительного исполнения команд.

Для устранения уязвимости:

• установите обновления своей операционной системы (подробности для ОС Microsoft);
• обновите свои браузеры;
• проверьте и обновите прошивки своих устройств.

После установки этого обновления скорость компьютеров замедлится из-за изменений в механизме переключения контекстов процессов между пользовательским режимом и режимом ядра. В зависимости от задач замедление может составить от 5 до 30%.

Уязвимость Spectre

Эксплуатация уязвимости Spectre состоит в том, чтобы загрузить конвейер процессора временными инструкциями, которые при нормальном выполнении программы не были бы выполнены. Тщательно выбирая такие инструкции для спекулятивного выполнения, можно получить доступ к адресному пространству других процессов. В результате вредоносный JavaScript-сценарий получает доступ к памяти за пределами «песочницы» браузера и может, например, прочитать пароли, сохранённые для других сайтов.

Реализовать эксплойт для уязвимости Spectre сложнее, чем для Meltdown, поскольку он требует предварительной подготовки, длительность которой зависит от объёма памяти атакуемой машины. Для хоста с памятью 64Гб время подготовки может составлять от 10 до 30 минут.

К атаке Spectre уязвимы практически все современные процессоры, включая Intel, AMD, ARM, Qualcomm и Samsung.

Выпустить патч для этой уязвимости производителям пока не удалось.

Криптомайнинг

Расширение Archive Poster для Chrome скрытно майнит криптовалюту:

В начале декабря в составе расширения обнаружили майнинговый скрипт Coinhive:

Предполагается, что разработчики расширения могли стать жертвами фишинговой атаки.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 22 по 28 декабря 2017 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Сайты и электронная почта

Минфин России предупреждает о мошеннических сайтах, на которых рекламируются несуществующие госпрограммы содействия инвестициям граждан в криптовалюту. Дизайн сайтов похож на дизайн настоящего сайта Минфина. На данных ресурсах даже могут использоваться фотографии руководства министерства.

Рекламно-аналитические агентства собирают данные о логинах и адресах электронной почты пользователей, используя недоработки диспетчеров паролей в браузерах:

Для сбора данных на сайтах создаются скрытые формы авторизации, в которые услужливо подставляют данные браузерные диспетчеры паролей.

Страница для демонстрации уязвимости
Видео-демонстрация

Мошенники использовали фальшивые рекламные объявления сервиса продажи и покупки недвижимости ЦИАН в Google, в результате чего пользователи перенаправлялись на сайт мошенников с поддельными новостями:

Обратите внимание: в рекламном блоке показывается подлинный адрес сайта ЦИАН, но реальный переход по ссылке уводит пользователя на мошеннический сайт. Google AdWords позволяет задать отдельно Display URL и Final URL, хотя правила запрещают использовать в них разные домены.

Вредоносное ПО и мобильная безопасность

Банковский троян Catelites Bot маскируется под системное приложение и крадёт данные о банковских счетах и картах пользователя. Для распространения вредоноса используется вредоносная реклама и фишинговые сайты с приложениями для Android.

После установки на экране появляется некое «Системное приложение»:

После запуска оно спрашивает права администратора, и, получив их, исчезает. Вместо него на устройстве появляются знакомые пользователю иконки Gmail, Google Play и Chrome:

Если пользователь не заметит подвоха и запустит одно из этих приложений, появится оверлей, запрашивающий данные банковской карты:

Catelites Bot умеет имитировать приложения 2200 различных банков и финансовых компаний. Как только пользователь запускает банковское приложение, его тоже перекрывает оверлей, с соответствующим интерфейсом. Малварь может перехватывать SMS-сообщения, отключать звук, следить за другими запущенными задачами и многое другое:

PIN-код для разблокировки телефона можно подобрать, используя информацию с акселерометра, гироскопа, датчика расстояния и других:

Во время ввода PIN-кода телефон по-разному перемещается в пространстве при нажатии 1,5 или 9. Нажатие 1 правым большим пальцем блокирует больше света, чем при нажатии 9. Это позволяет разработать приложение, которое будет собирать данные от датчиков и, используя компьютерное обучение, с высокой точностью определять введенные пользователем цифры.

Криптомайнинг

Мошенники распространяли пиратские версии дистрибутивов популярных программ с встроенным майнером NiceHash.

В качестве приманки были созданы множество похожих сайтов, с которых предлагалось бесплатно скачать Adobe Premiere Pro, Corel Draw и другие программы:

После запуска программы установки на компьютер скрыто копировались файлы майнера:

Файл system.exe содержит vbs-скрипт, запускающий работу майнера:

Digmine распространяется через Facebook Messenger, устанавливает на зараженные машины майнер Monero и вредоносное расширение для Chrome:

Digmine маскируется под видеофайл с именем video_xxxx.zip:

Архив содержит исполняемый скрипт, который при запуске «видео» связывается с управляющим сервером:

С управляющего сервера загружается майнер криптовалюты Monero XMRig и вредоносное расширение для Chrome. Чтобы установить расширение в Chrome не из Chrome Web Store, браузер запускается из командной строки.

После установки расширение получает доступ к профилю жертвы в Facebook Messenger и рассылает всем ее контактам файлы video_xxxx.zip. Для работы механизма распространения нужно, чтобы пользователь хранил в Chrome данные для автоматического входа в свой профиль Facebook.

Устройства

Акустическая атака может вывести из строя компьютеры или систему видеонаблюдения с жёсткими дисками:

Атака основана на том, что жёсткие диски запрограммированы останавливать операции чтения/записи при возникновении вибраций.

Если подобрать частоту, на которой появится усиливающий вибрацию резонанс, жёсткий диск прервёт работу, чтобы не потерять данные, записанные на магнитных пластинах с высокой плотностью.

Приложение для управления умными светильниками Xiaomi Yeelight cобирает информацию о MAC-адресе, SSID, доступных беспроводных сетях и паролях, а также содержимое журнала логов, и отправляет их на серверы Xiaomi в Китае:

При установке приложение сканировало доступные сети Wi-Fi и запрашивало разрешения, не связанные с выполняемыми задачами: аутентификацию аккаунтов, загрузку без уведомления, доступ к звонкам и данным геолокации и другие.

Уязвимость в умных колонках Sonos и Bose позволяет взломать их и воспроизвести любой звук с любой громкостью:

Для атаки к устройству должен быть прямой доступ из интернета. Такая конфигурация часто используется для организации хранилища файлов или игрового сервера.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Представляем новости об актуальных технологиях фишинга и других атаках на человека c 15 по 21 декабря 2017 года.

Сергей Волдохин
sv@antiphish.ru


Андрей Жаркевич
редактор, ИТ-руководитель

Почта, сайты и социальные сети

Фейсбук запустил новую функцию для защиты от фишинга. Из интерфейса Фейсбука пользователь может посмотреть, отправлялись ли ему электронные письма, связанные с безопасностью и входом в аккаунт. Для этого нужно выбрать «Настройки» — «Безопасность и вход» — «Просмотреть последние письма от Facebook»:

Если письма «от Фейсбука», которое пришло вам на почту, нет в списке, скорее всего оно было отправлено мошенниками.

Специалисты Антифишинга сообщают о новой атаке на пользователей почты Мейл.Ру:

Пользователя пугают фальшивым «предупреждением безопасности» и «переполнением ящика», и затем предлагают ввести пароль от своей почты.

Для повышения доверия мошенники используют фишинговый сайт с https, однако не слишком заботятся о своей безопасности — в частности, оставляют возможность XSS-атаки через собственный сайт.

Также наши специалисты обнаружили новую фишинговую атаку на пользователей криптовалют:

1. Жертве сообщают об обнаруженной «подозрительной активности» в его кошельке.
2. Кошелек якобы заблокирован и для разблокировки предлагается пройти «верификацию».
3. При переходе по ссылке из письма пользователь попадает на полную копию настоящего сайта, которая использует защищенное https-соединение и крадет ID и пароль от кошелька жертвы.

Для большей реалистичности мошенники использовали адрес фишингового сайта с двумя специальными символами, похожими на букву с:

blo?k?hain.info

Запрос на блокировку домена уже отправлен регистратору.

Кошелек мошенников: https://blockchain.info/address/1DdKyHM9LQvayV4iJZPPSR9LMVhVY5QXBb

Стали известны подробности атаки на дочерний банк ВЭБа «Глобэкс» с выводом средств через SWIFT.

По предварительным данным, к атаке причастна группировка Cobalt. Согласно отчету Group-IB, во всех исследованных ранее случаях вектором проникновения этой группы были электронные письма с вредоносными вложениями:

Атаку удалось остановить лишь частично, было утеряно несколько десятков миллионов рублей.

Умные устройства

Ещё в шести популярных умных игрушка обнаружены опасные уязвимости, с помощью которых злоумышленники могут собирать персональные данные, шпионить за детьми и общаться с ними от имени родителей.

Обнаружился способ вызвать локальный отказ в обслуживании у банкоматов Cбербанка с помощью пятикратного нажатия Shift на клавиатуре:

Эта комбинация клавиш включает режим залипания клавиш Windows и останавливает работу пакетного файла, управляющего работой банкомата:

Вредоносное ПО

Новый вариант трояна Loki распространяется с помощью вредоносных скриптлетов в документах MS Excel.

1. Для рассылки вредоносных файлов используются фишинговые письма.
2. После открытия файла Excel жертве предлагается обновить внешние ссылки рабочей книги, которые указывают на вредоносные скриптлеты и загружают вредоносное ПО.
3. Благодаря использованию внешних ссылок сам документ совершенно безобиден и не определялся антивирусами как вредоносный. Через две недели после первого появления на VT файл определяли как вредоносный всего 12 антивирусов из 59:

Вредонос Triton атакует промышленные системы управления и объекты критической инфраструктуры, оснащённые контроллерами систем инструментальной безопасности (Safety Instrumented System, SIS) от Schneider Electric.

Такие контроллеры нужны для мониторинга различных процессов на фабриках и предприятиях и для безопасного восстановления или завершения работы оборудования в случае возникновения сбоев или потенциально опасных ситуаций.

1. Первичный вектор проникновения не раскрывается.
2. Атакующий получает удаленный доступ к рабочим станциям под управлением Windows, отвечающим за работу с системами инструментальной безопасности.
3. Triton маскируется под легитимное ПО для Triconex SIS, предназначенное для рабочих станций.
4. Вредонос задействует проприетарный протокол TriStation.
5. Если на зараженной машине имеются файлы конфигурации SIS, Triton пытается перепрограммировать контроллеры.

В итоге вредонос либо останавливает весь производственный процесс, либо вынуждает оборудование работать в небезопасном состоянии, что может нанести физический ущерб оборудованию и работающим с ним людям.

Мобильная безопасность

Функцию распознавания лиц Windows Hello удалось обмануть с помощью распечатанной на принтере фотографии:

Для атаки оказалось достаточно преобразовать фотографию в ИК-спектр и распечатать на лазерном принтере в низком разрешении. Если включить функцию усиленной защиты от спуфинга на устройстве, потребуется фото с более высоким разрешением. А если заклеить инфракрасный датчик устройства, обмануть Windows Hello можно и с помощью чёрно-белого фото.

Администрация Instagram удалила рекламу китайского производителя кроссовок Kaiwei Ni, который использовал нарисованный на экране волос для накрутки переходов на свою страницу.

Посмотрите на баннер с экрана смартфона:

Криптомайнинг

Модульный троян Loapi ворует деньги своих жертв, заваливает их рекламой и майнит криптовалюту Monero.

Троян распространяется через сеть сайтов, рекламирующих защитные решения для мобильных устройств и приложения для взрослых. Заразиться им можно при переходе по ссылке в SMS-спаме или рекламном объявлении:

После установки и запуска малварь запрашивает права администратора устройства выводя окно запроса прав до тех пор, пока пользователь не согласится:

Главная проблема для жертв заключается в том, что майнинг происходит так интенсивно, что смартфон может перегреться и физически выйти из строя:

Loapi имеет модульную структуру и может на лету менять функциональность по команде от управляющего сервера, самостоятельно загружая и устанавливая нужные дополнения:

Вдохновлённые ростом курса криптовалют сотрудники компаний используют служебное оборудование для майнинга:

1. ФСБ задержала одного из системных администраторов центра, который майнил криптовалюту на рабочем месте. Для этого он создал криптовалютную майнинговую ферму и подключил ее к электрической сети аэропорта.
2. Осенью 2017 из аппарата совета министров Крыма уволены два чиновника, которые в здании правительства подпольно установили программное обеспечение для «майнинга» биткоинов.
3. В «Транснефти» были случаи добычи криптовалюты на служебном оборудовании, рассказал бывший министр внутренних дел России, вице-президент «Транснефти» по безопасности Владимир Рушайло, выступая на экспертном совете компании по кибербезопасности.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.